Go to main content

Guia de Segurança do Oracle SuperCluster Série M7

Sair da Exibição de Impressão

Atualizado: Fevereiro de 2016
 
 

Criar Zonas Globais Imutáveis

A proteção contra alterações com imutabilidade permite que zonas globais e não globais criem um ambiente operacional de alta integridade e resiliente dentro do qual os servidores de computação SuperCluster operam seus próprios serviços. Com base nos recursos de segurança inerentes das zonas globais e não globais do Oracle Solaris, as zonas imutáveis garantem que (alguns ou todos) os diretórios e arquivos do SO não possam ser alterados (sem a intervenção do administrador). A aplicação dessa postura somente leitura ajuda a prevenir alterações não autorizadas, promove procedimentos de gerenciamento de alterações mais fortes e impedem a injeção de malware baseado em kernel e usuário.

Nota -  Uma vez configurada uma zona imutável, não é possível atualizá-la de outro meio que não seja pelo login de Caminho Confiável ou quando o sistema é reiniciado no modo gravável por reboot -- -w.

Embora sempre seja necessário confirmar se o software aplicativo funciona conforme o esperado em um ambiente imutável, lembre-se de que as instâncias do Oracle Database e os clusters Oracle RAC são verificados para funcionar corretamente em zonas não globais imutáveis do Oracle Solaris.

  1. Faça login na zonal global do Oracle Solaris (Domínio Dedicado, Domínio Raiz ou Domínio de E/S) como superusuário.

    Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão

  2. Modifique a configuração de zona global do Oracle Solaris definindo a propriedade file-mac-profile. 
    # zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
  3. Reinicie a zona global do Oracle Solaris para as alterações entrarem em vigor. Faça login no domínio por meio do console do ILOM.
  4. Inicie o console do caminho confiável da zona global imutável.

    Ao configurar a zona global imutável, é importante inserir o login do console usando uma destas sequências de quebra:

    • Console gráfico – F1-A

    • Console serial – <Break> ou a sequência de quebra alternativa (CR~ Ctrl-b)

    trusted path console login:
  5. Faça login na zona global do Domínio de E/S e suponha que a função root execute todas as atualizações específicas do sistema, em seguida, reinicie o sistema para restaurar o modo somente leitura. 
    # reboot
Copyright © 2016, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. 
Anterior
Próximo